-
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung mindestens eines Produktion-Steuerrechners zur Herstellung von Produkten.
-
Produktion-Steuerrechner können zur Durchführung von Produktion-Steuervorgängen eingesetzt werden, bei denen beliebige Produkte bzw. Gegenstände industriell gefertigt werden. Ein Produktion-Steuerrechner kann beispielsweise eine Fertigungseinheit steuern, die über Aktoren und Sensoren verfügt. Dabei gibt der Produktion-Steuerrechner Steuersignale an die Fertigungseinheit ab, welche die Aktoren der Fertigungseinheit steuern und empfängt von der Fertigungseinheit Mess- bzw. Sensorsignale von den Sensoren der Fertigungseinheit. Der Produktion-Steuerrechner ist dabei über ein Netzwerk mit der Fertigungseinheit verbunden und führt zeitnah oder in Echtzeit einen Produktion-Steuervorgang zur Herstellung von Produkten bzw. Gegenständen durch. Bei den Gegenständen bzw. Produkten kann es sich um beliebige Produkte handeln, beispielsweise mechanische Gegenstände, wie Bauteile, oder chemische Produkte, wie beispielsweise Tabletten, pulverförmige oder flüssige Produkte.
-
Tritt in einem Steuerprogramm des Produktion-Steuerrechners ein Fehler auf, führt dies zu einem fehlerhaften Produktion-Steuervorgang und schließlich zu fehlerhaft hergestellten Produkten. Darüber hinaus kann ein fehlerhafter Produktion-Steuervorgang auch die Sicherheit von Mitarbeitern des Herstellers und vor allem auch von Abnehmern der Produkte gefährden. Beispielsweise kann ein fehlerhafter Produktion-Steuervorgang dazu führen, dass Aktoren der Fertigungseinheit im Bereich der Fertigungseinheit befindlichen Arbeiter gefährden. Weiterhin kann ein fehlerhafter Produktion-Steuervorgang zu Fehlern bei den Produkten führen, die bei dem Abnehmer des Produktes einen Schaden verursacht. Besteht beispielsweise der Produktionsvorgang in der Herstellung von Medikamenten bzw. Tabletten, kann ein fehlerhafter Produktion-Steuervorgang zu einer fehlerhaften Dosierung von Substanzen innerhalb des Produktes führen, der beim Endabnehmer, der das Medikament einnimmt, zu Gesundheitsschäden führen kann.
-
Ein Fehler bei der Steuerung des Produktion-Steuervorgangs durch den Produktion-Steuerrechner kann aufgrund einer fehlerhaften Konfigurationseinstellung des Produktion-Steuerrechners entstehen, wobei ein derartiger Konfigurationsfehler sowohl unabsichtlich hervorgerufen werden kann oder auch infolge eines Angriffs durch einen böswilligen Dritten. Weiterhin kann ein fehlerhafter Produktion-Steuervorgang durch eine beabsichtigte oder nicht beabsichtigte Beeinflussung der Kommunikation des Produktion-Steuerrechners mit der von ihm gesteuerten Fertigungseinheit entstehen. Beim Auftreten von Fehlern kann man für das Steuerprogramm des Produktion-Steuerrechners, sofern diese Fehler bemerkt werden, sogenannte Sicherheitspatches zur Behebung der Programmfehler einspielen. Allerdings bleiben fehlerhafte Produktionsvorgänge unter Umständen für eine längere Zeit unbemerkt, so dass die fehlerhaften Produkte bis zu dem Kunden gelangen und dort Schäden hervorrufen können. Gegenüber Angriffen durch Dritte besteht bisher nur die Möglichkeit, einen Produktion-Steuerrechner in einem geschlossenen abgeschotteten Netzwerk zu betreiben. Allerdings müssen auch derart abgeschottete Netzwerke gewartet werden, wobei Wartungsgeräte bzw. Wartungsrechner an das Netzwerk angeschlossen werden, die unter Umständen eine schadhafte Software bzw. einen Virus oder dergleichen aufweisen.
-
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zum Überwachen eines Produktion-Steuerrechners zu schaffen, bei der die Sicherheit gegenüber fehlerhaften Produktion-Steuervorgängen erhöht wird.
-
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
-
Die Erfindung schafft ein Verfahren zum Überwachen mindestens eines Produktion-Steuerrechners,
wobei zu einem durch den Produktion-Steuerrechner durchgeführten Produktion-Steuervorgang zur Herstellung von Produkten mindestens eine Sicherheitsüberprüfung erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befindet.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit, die in dem Produktion-Steuerrechner enthalten bzw. darin integriert ist.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit, die mit dem Produktion-Steuerrechner, beispielsweise über ein Netzwerk, verbunden ist.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das Kommunikationsverhalten des Produktion-Steuerrechners anhand von Eingabesignalen an den Produktion-Steuerrechner und/oder anhand von Ausgabesignalen, die von dem Produktion-Steuerrechner abgegeben werden, beobachtet und anschließend durch die Sicherheitsüberprüfungseinheit ausgewertet.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Eingabe- und/oder Ausgabesignale des Produktion-Steuerrechners rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechner übertragen, wobei die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt.
-
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Produktion-Steuerrechner die erfassten Ein- und/oder Ausgabesignale der überwachten Produktion-Steuerrechners synchron mit einer Signallaufzeitverzögerung.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Produktion-Steuerrechner die erfassten Ein- und/oder Ausgabesignale des überwachten Produktion-Steuerrechners asynchron, beispielsweise nach Abschluss des Produktion-Steuervorganges.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners aufgezeichnet, beispielsweise auf einem Datenträger.
-
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner virtuell identisch zu dem Produktion-Steuerrechner auf einem Server oder Rechner implementiert.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine direkte Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit, indem diese auf Referenzdaten zugreift, um zu verifizieren, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens vergleicht die Sicherheitsüberprüfungseinheit die Konfigurationsdaten des Produktion-Steuerrechners und/oder des zweiten Produktion-Steuerrechners mit den Referenzdaten, um zu verifizieren, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten des Produktion-Steuerrechners in den zweiten Produktion-Steuerrechner vor der Sicherheitsüberprüfung kopiert.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens geben die Konfigurationsdaten einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner implementierten Softwarekomponente an.
-
Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch berechnete Prüfsummen der jeweiligen Softwarekomponenten gebildet.
-
Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Versionsnummern der jeweiligen Softwarekomponenten gebildet.
-
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Konfigurationseinstellungen in mindestens einer Konfigurationsdatei des Produktionssteuerrechners gebildet.
-
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine Fehlerbehandlung, falls die Sicherheitsüberprüfung ergibt, dass der Produktion-Steuerrechner nicht in einem integeren Konfigurationszustand während des Produktion-Steuervorganges ist.
-
Diese Fehlerbehandlung umfasst bei einer möglichen Ausführungsform das Abgeben einer Alarmmeldung.
-
Bei einer weiteren Ausführungsform umfasst die Fehlerbehandlung das Anhalten des Herstellungsprozesses zur Herstellung der Produkte durch die Fertigungseinheit.
-
Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens umfasst die Fehlerbehandlung eine Steigerung der Qualitätsprüfung bei den durch den Herstellungsprozess hergestellten Produkten.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens umfasst die Fehlerbehandlung das Senden einer Fehlerbenachrichtigung an ein Produktionsmanagementsystem.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens umfasst die Fehlerbehandlung das Einschreiben einer Fehlernachricht in einen oder in mehrere Datenträger, die die hergestellten Produkte begleiten.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung vor dem Herstellungsprozess zur Herstellung der Produkte.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung während des Herstellungsprozesses zur Herstellung der Produkte.
-
Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung nach dem Herstellungsprozess zur Herstellung der Produkte.
-
Die Erfindung schafft ferner ein System zur Herstellung von Produkten mit mindestens einem Produktion-Steuerrechner, der einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei für den Produktion-Steuervorgang eine Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befindet.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners durch.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners durch.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems erfasst eine Signalabzweigeinheit Ein- und/oder Ausgabesignal des überwachten Produktion-Steuerrechners rückwirkungsfrei und überträgt diese abgezweigten Ein- und/oder Ausgabesignale an einen zweiten identisch implementierten Produktion-Steuerrechner, wobei die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems ist der zweite Produktion-Steuerrechners physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems ist der zweite Produktion-Steuerrechner virtuell identisch zu dem überwachten Produktion-Steuerrechner auf einem Server oder Rechner implementiert.
-
Die Erfindung schafft ferner eine Sicherheitsüberprüfungseinheit zur Ausführung einer Sicherheitsüberprüfung bei einem Produktion-Steuerrechner, welcher einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei die Sicherheitsüberprüfungseinheit zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner während des Produktionsvorganges in einem integeren Zustand befindet.
-
Bei einer Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des überwachten Produktion-Steuerrechners.
-
Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des überwachten Produktion-Steuerrechners.
-
Bei einer Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit ist diese in dem Produktion-Steuerrechner enthalten bzw. darin integriert.
-
Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit ist die Sicherheitsüberprüfungseinheit mit dem Produktion-Steuerrechner über ein Netzwerk verbunden.
-
Die Erfindung schafft ferner einen Produktion-Steuerrechner, der eine Sicherheitsüberprüfungseinheit enthält, welche eine Sicherheitsüberprüfung bei dem Produktion-Steuerrechner durchführt, wobei die Sicherheitsüberprüfungseinheit zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner während eines Produktion-Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet.
-
Die Erfindung schafft ferner einen Überwachungs-Produktion-Steuerrechner, wobei dem Überwachungs-Produktion-Steuerrechner die Ein- und/oder Ausgabesignale oder die Konfigurationsdaten eines überwachten Produktion-Steuerrechners zugeführt werden und wobei der Überwachungs-Produktion-Steuerrechner identisch zu dem überwachten Produktion-Steuerrechner aufgebaut ist,
wobei eine mit dem Überwachungs-Produktion-Steuerrechner verbundene Sicherheitsüberprüfungseinheit überprüft, ob sich der Überwachungs-Produktion-Steuerrechner während eines Produktion-Steuervorganges des überwachten Produktion-Steuerrechners in einem integeren Zustand befindet.
-
Im weiteren werden Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zum Überwachen eines Produktion-Steuerrechners unter Bezugnahme auf die beigefügten Figuren erläutert.
-
Es zeigen:
-
1 ein Blockschaltbild eines möglichen Ausführungsbeispiels eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner gemäß der Erfindung;
-
2A, 2B Diagramme zur Darstellung möglicher Ausführungsbeispiele eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner;
-
3 ein Ablaufdiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners;
-
4 ein weiteres Ablaufdiagramm zur Darstellung einer Ausführungsform des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners;
-
5 ein Blockschaltbild zur Darstellung eines weiteren möglichen Ausführungsbeispiels eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner;
-
6 ein weiteres Blockschaltbild zur Darstellung einer möglichen Ausführungsform eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner;
-
7 ein Diagramm zur Darstellung einer möglichen Ausführungsvariante des erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner.
-
1 zeigt ein Beispiel für ein System 1, das einen überwachten Produktion-Steuerrechner 5 gemäß der Erfindung enthält. Das in 1 dargestellte Produktionssystem 1 enthält zwei Fertigungszellen FZ1, FZ2 zur Herstellung von Gerten bzw. Produkten oder Zwischenprodukten. Bei dem dargestellten Beispiel für ein Produktionssystem 1 weist jede der beiden Fertigungszellen FZ1, FZ2 einen lokalen Bus auf, an den mehrere Einheiten angeschlossen sind. Die Fertigungszelle FZ1 weist einen lokalen Bus 2-1 auf, der mit einem industriellen Netzwerk 3 verbunden ist, an welchen verschiedene Fertigungszellen FZ angeschlossen sind. Bei dem in 1 dargestellten Beispiel sind an dem lokalen Bus 2-1 der Fertigungszelle FZ1 ein Roboterarm 4, ein Produktion-Steuerrechner bzw. ein Produktion-Steuerrechnermodul 5 zur Ansteuerung des Roboterarms 4 sowie eine Sicherheitsüberprüfungseinheit 6 angeschlossen, welche die Integrität des Produktion-Steuermoduls 5 während des Produktion-Steuervorganges bzw. während der Ansteuerung des Roboterarms 4 überwacht, indem sie verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorgangs in einem integeren Zustand befindet. Die zweite Fertigungszelle FZ2 weist bei dem in 1 dargestellten Beispiel einen Schweißautomat 6 als Fertigungseinheit auf, die über einen lokalen Bus 2-2 mit einem Steuerrechner 7 verbunden ist. Bei dem in 1 dargestellten Beispiel weist die zweite Fertigungszelle FZ2 keine Sicherheitsüberprüfungseinheit auf. Das Industrienetzwerk 3 ist über einen Firewall 8 mit einem weiteren Netzwerk, beispielsweise einem Büronetzwerk 9, verbunden, an dem ebenfalls ein Rechner 10 angeschlossen ist. Weiterhin ist in dem dargestellten Beispiel ein Produktionsserver 11 vorgesehen, der ein Teil eines Produktionsmanagementsystems sein kann. Dieser Produktionsserver 11 ist mit dem Industrienetzwerk 3 verbunden. Weiterhin weist das Industrienetzwerk 3 bei dem dargestellten Beispiel einen WLAN Accesspoint 12 auf, der über eine drahtlose Schnittstelle mit einem Wartungsrechner bzw. einem Wartungsgerät 13 kommuniziert.
-
Der Produktion-Steuerrechner 5 steuert den Produktionsvorgang der Fertigungseinheit 4 innerhalb der Fertigungszelle FZ1. Während dieses Produktion-Steuervorganges über den lokalen Bus 2-1 der Fertigungszelle 1 erfolgt durch die Sicherheitsüberprüfungseinheit 6, die ebenfalls an dem lokalen Bus 2-1 angeschlossen ist, eine Sicherheitsüberprüfung, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet. Die Sicherheitsüberprüfungseinheit 6 verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand befindet, wobei dies direkt oder indirekt erfolgen kann. Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit 6 durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktion-Steuervorganges. Die Konfigurationsdaten umfassen Konfigurationsparameter, z. B. eine konfigurierbaren Temperaturschwellwert, eine Solldrehzahl eines am Ende des Roboterarms 4 befestigten Werkzeugs wie ein Fräskopf (nicht dargestellt) oder eine Trajektorie, entlang der der Roboterarm 4 unter Kontrolle des Produktion-Steuerrechners 5 geführt wird. Sie können weiterhin Betriebssoftware und/oder Steueranweisungen des Produktion-Steuerrechners 5 umfassen. Bei einer alternativen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberführungseinheit 6 indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5, beispielsweise durch Beobachtung der Signale auf dem lokalen Steuerbus 2-1. Bei dem in 1 dargestellten Ausführungsbeispiel ist die Sicherheitsüberprüfungseinheit 6 mit dem Produktion-Steuerrechner 5 über einen lokalen Bus 2-1 bzw. über ein Netzwerk verbunden. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch innerhalb des Produktion-Steuerrechners 5 befinden bzw. darin integriert sein.
-
Bei der in 1 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 über einen lokalen Bus 2-1 mit dem überwachten Produktion-Steuerrechner 5 und der Fertigungseinheit 4 verbunden. Bei alternativen Ausführungsformen kann sich der Produktion-Steuerrechner 5 an einem anderen Ort innerhalb des Produktionssystems befinden. Bei einer möglichen Variante ist die Sicherheitsüberprüfungseinheit 6 nicht an den lokalen Bus 2-1 sondern an dem Industrienetzwerk 3 angeschlossen. Bei einer möglichen Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 durch den Firewall 8 getrennt von dem Industrienetzwerk 3 in dem Büronetzwerk 9 vorgesehen.
-
Der Produktionssteuervorgang durch den Produktionssteuerrechner 5 zur Steuerung des Herstellungsprozesses bzw. Produktionsprozesses durch eine Fertigungseinheit 4, beispielsweise einen Roboterarm, erfolgt bei einer möglichen Ausführungsform in Echtzeit. Dabei werden Steuersignale an Aktoren der Fertigungseinheit 4 in Echtzeit zur Steuerung des Produktion-Steuervorganges übertragen und Sensordaten von Sensoren der Fertigungseinheit 4 in Echtzeit an den Produktion-Steuerrechner 5, beispielsweise über einen lokalen Bus, zurückübertragen.
-
Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5. Ist die Sicherheitsüberprüfungseinheit 6 nicht in dem Produktion-Steuerrechner 5 integriert kann dies beispielsweise dadurch geschehen, dass die Konfigurationsdaten des Produktion-Steuerrechners 5 zur Sicherheitsüberprüfungseinheit 6 kopiert werden, welche die kopierten Konfigurationsdaten dann auswertet.
-
Bei einer möglichen Ausführungsform greift die Sicherheitsüberprüfungseinheit 6 aus Referenzdaten zu, um zu verifizieren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet. Die Sicherheitsüberprüfungseinheit 6 vergleicht dabei vorzugsweise die Referenzdaten mit den Konfigurationsdaten des Produktion-Steuerrechners 5, um zu verifizieren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet. Die für den Vergleich notwendigen Referenzdaten können sich beispielsweise in einer Datenbank befinden, auf die die Sicherheitsüberprüfungseinheit 6 Zugriff hat. Die Überprüfung der Konfigurationsdaten durch Vergleich mit den Referenzdaten kann bei einer möglichen Ausführungsform der Sicherheitsüberprüfungseinheit 6 in Echtzeit ausgeführt werden. Die mit den Referenzdaten verglichenen Konfigurationsdaten können unterschiedliche Daten umfassen, insbesondere Konfigurationsdaten, welche einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner 5 implementierten Softwarekomponente angeben. Bei einer derartigen Softwarekomponente kann es sich um eine Applikations-Softwarekomponente aber auch um eine Betriebssystem-Softwarekomponente z. B. eine Treiber-Softwarekomponente handeln. Bei einer weiteren Ausführungsform weisen die Konfigurationsdaten eine berechnete Prüfsumme der jeweiligen Softwarekomponente auf. Dabei wird für die jeweilige Softwarekomponente eine Prüfsumme berechnet und mit Referenzdaten verglichen, um festzustellen, ob sich der Produktion-Steuerrechner 56 in einem integeren Zustand befindet. Weiterhin können die Konfigurationsdaten Versionsnummern der auf dem Produktion-Steuerrechner 5 implementierten Softwarekomponenten umfassen. Bei einer weiteren Ausführungsform können die Konfigurationsdaten auch Konfigurationseintellungen in mindestens einer Konfigurationsdatei des Produktion-Steuerrechners 5 aufweisen. Bei einer möglichen Ausführungsform erfasst die Sicherheitsüberprüfungseinheit 6 die Konfiguration des Produktion-Steuerrechners 5 indem sie ein Datenabbild bzw. Image der Konfiguration des Produktion-Steuerrechners 5 abzieht und mit den Referenzdaten vergleicht. Beispielsweise können über ein Kommandozeilen-Interface Prüfsummen von Betriebssystemen und/oder Anwendungsprogrammdateien sowie von Konfigurationsdateien berechnet werden und das Ergebnis an die Sicherheitsüberprüfungseinheit 6 übertragen werden. Alternativ kann eine Datenkopie der Konfigurationseinstellungen auf die Sicherheitsüberprüfungseinheit 6 geladen werden, beispielsweise in Form eines Virtual Machine Images.
-
Das Prüfergebnis der Sicherheitsüberprüfung kann bei einer möglichen Ausführungsform von der Sicherheitsüberprüfungseinheit 6 an den überwachten Produktion-Steuerrechner 5 übertragen werden, wobei dieser bei einer möglichen Ausführungsform die empfangenen Prüfergebnisse der hergestellten bzw. produzierten Gegenständen oder Produkten einer Produktionscharge zuordnen kann. Bei einer möglichen Ausführungsform schreibt der Produktion-Steuerrechner 5 das Prüfergebnis in einen Datenträger ein, der die hergestellten Produkte begleitet. Beispielsweise kann eine Produktionscharge, etwa eine Gruppe hergestellter Bauteile über einen Datenträger verfügen, der die Produktionscharge während des Produktionsvorganges begleitet, wobei der Produktion-Steuerrechner 5 das Prüfergebnis in diesen Datenträger bzw. Speicher einschreibt. Bei einer alternativen Ausführungsform kann jedes hergestellte Produkt bzw. Gegenstand über einen eigenen beschreibbaren Datenträger bzw. Speicher verfügen, in dem der Produktion-Steuerrechner 5 das jeweilige Prüfergebnis einschreibt. Auf diese Weise ist es möglich, nach Abschluss des Produktionsvorganges festzustellen, welche Gegenstände bzw. welche Produktionschargen während eines fehlerhaften bzw. nicht integeren Zustandes des zugehörigen Produktion-Steuerrechners 5 hergestellt wurden. Diese Gegenstände bzw. Produkte können nach Abschluss des Herstellungsprozesses dann einer zusätzlichen Qualitätssicherungsmaßnahme zugeführt bzw. aussortiert werden.
-
Die 2A, 2B zeigen mögliche Varianten eines erfindungsgemäßen Produktionssystems mit einem überwachten Produktion-Steuerrechner 5. Bei der in 2A dargestellten Ausführungsvariante sind in einem Speicher bzw. einer Konfigurationsdatei des Produktion-Steuerrechners 5 Konfigurationsdaten abgelegt, die durch eine externe Sicherheitsüberprüfungseinheit 6 verifiziert werden, um festzustellen, ob sich der Produktion-Steuerrechner 5 während eines Produktion-Steuervorganges bei dem eine Fertigungseinheit 4 gesteuert wird, in einem integeren Zustand befindet. Bei der in 2A dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 nicht in dem Produktion-Steuerrechner 5 integriert, sondern beispielsweise über ein Netzwerk mit dem Produktion-Steuerrechner 5 verbunden.
-
Bei der in 2B dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 in dem Produktion-Steuerrechner integriert und führt lokal die Sicherheitsüberprüfung durch, indem sie verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand befindet.
-
3, 4 zeigen verschiedene Ausführungsvarianten des erfindungsgemäßen Verfahrens zum Überwachen mindestens eines Produktion-Steuerrechners 5.
-
3 zeigt eine Ausführungsvariante, wobei die Überwachung nach Abschluss des Herstellungsprozesses bzw. des Herstellungsvorganges erfolgt.
-
In einem Startschritt S3-0 wird der Produktionsvorgang durch den Produktion-Steuerrechner 5 gestartet.
-
In einem weiteren Schritt S3-1 erfolgt der Produktion-Steuervorgang, indem der Produktion-Steuerrechner 5 einen oder mehrere Steuerbefehle zur Fertigungseinheit 4 abgibt und gegebenenfalls Sensorsignale von der Fertigungseinheit 4 empfängt und auswertet. Wird in einem Schritt S3-2 festgestellt, dass der Produktion-Steuervorgang zur Herstellung der Produkte abgeschlossen ist, werden bei dem in 3 dargestellten Ausführungsbeispiel in einem Schritt S3-3 Steuerrechner-Konfigurationsinformationen bzw. Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6 ermittelt. Anschließend erfolgt in einem Schritt S3-4 eine Analyse bzw. eine Auswertung der ermittelten Steuerrechner-Konfigurationsdaten, beispielsweise durch Vergleich mit Referenz-Konfigurationsdaten.
-
In einem weiteren Schritt S3-5 wird durch die Sicherheitsüberprüfungseinheit 6 festgestellt, ob eine Abweichung zwischen den ermittelten Steuerrechner-Konfigurationsdaten und den Referenz-Konfigurationsdaten besteht oder nicht. Besteht eine Abweichung, werden beispielsweise in einem Schritt S3-6 die während des Produktion-Steuervorganges erzeugten Produkte bzw. Gegenstände als „Ausschuss” markiert. Dies kann geschehen, indem beispielsweise ein Produktionsserver 11 entsprechend benachrichtigt wird, wobei der Produktionsserver 11 einen Teil eines Produktionsmanagementsystems bilden kann. Alternativ kann die Markierung der möglicherweise fehlerhaften Produkte geschehen, indem das negative Prüfergebnis in einen Datenträger eingeschrieben wird, der die hergestellten Produkte während des Produktionsvorganges begleitet. Wird im Schritt S3-5 umgekehrt keine Abweichung zwischen den Konfigurationsdaten des Produktion-Steuerrechners 5 und den Referenz-Konfigurationsdaten festgestellt, werden in einem Schritt S3-7 die in dem Produktionsvorgang bzw. Herstellungsprozess hergestellten Produkte als fehlerfrei markiert, indem man dies beispielsweise dem Produktionsserver 11 meldet oder eine entsprechende Meldung in den zugehörigen Datenträger einschreibt. Der Vorgang endet im Schritt S3-8.
-
4 zeigt ein Ablaufdiagramm einer alternativen Variante des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners 5. Bei dieser Variante erfolgt eine Sicherheitsüberprüfung während der Durchführung des Produktionsvorganges.
-
In einem Schritt S4-0 startet der Produktion-Steuerrechner 5 den Produktion-Steuervorgang.
-
In einem Schritt S4-1 erfolgt die Durchführung der Steueraufgabe durch den Produktion-Steuerrechner 5, indem dieser beispielsweise Steuerbefehle an die Fertigungseinheit 4 abgibt.
-
In einem weiteren Schritt S4-2 erfolgt eine Ermittlung von Steuerrechner-Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6.
-
In einem weiteren Schritt S4-3 werden die ermittelten Steuerrechner-Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6 analysiert bzw. ausgewertet, wobei dies beispielsweise durch Vergleich mit Referenz-Konfigurationsdaten erfolgt, auf welche die Sicherheitsüberprüfungseinheit 6 Zugriff hat.
-
In einem weiteren Schritt S4-4 überprüft die Sicherheitsüberprüfungseinheit 6, ob eine Abweichung zwischen den Referenz-Konfigurationsdaten und den ermittelten Steuerrechner-Konfigurationsdaten besteht. Ist dies der Fall, kann beispielsweise im Schritt S4-5 ein Abbruch der Steueraufgabe durch die Sicherheitsüberprüfungseinheit 6 veranlasst werden und der Produktionsvorgang wird gestoppt. In einem weiteren Schritt S4-6 kann dann die bisher erzeugte Produktionscharge bzw. die bisher erzeugten und hergestellten Produkte als fehlerhaft markiert werden. Ergibt umgekehrt die Überprüfung in dem Schritt S4-4, dass keine Abweichung zwischen den Referenz-Konfigurationsdaten und den ermittelten Steuerrechner-Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktionsvorganges aufgetreten sind, wird in Schritt S4-7 geprüft, ob der Produktionssteuervorgang die jeweilige Produktionscharge abgeschlossen ist oder nicht. Ist der Produktionsvorgang für die Produktionscharge, bei der eine Vielzahl von Produkten bzw. Gegenständen hergestellt werden können, nicht abgeschlossen, kehrt der Vorgang zu Schritt S4-1 zurück und der Produktion-Steuerrechner 5 gibt den nächsten Steuerbefehl für den Produktion-Steuervorgang an die Fertigungseinheit 4 ab. Ist der Produktion-Steuervorgang für die Produktionscharge abgeschlossen, werden in einem Schritt S4-8 die produzierten bzw. hergestellten Gegenstände bzw. Produkte als fehlerfrei markiert. Der Vorgang endet im Schritt S4-9.
-
Ein Vorteil der in 4 dargestellten Vorgehensweise besteht darin, dass ein Produktionsvorgang zur Herstellung einer Produktionscharge bei der ersten auftretenden Abweichung in Schritt S4-5 abgebrochen werden kann, so dass nicht weitere fehlerhafte und möglicherweise fehlerhafte Produkte durch einen nicht in einem integeren Zustand befindlichen Produktion-Steuerrechner hergestellt werden können. Hierdurch kann eine Verschwendung von Ressourcen vermieden werden.
-
Weitere Varianten des erfindungsgemäßen Verfahrens zur Überwachung eines Produktion-Steuerrechners 5 sind möglich. Die Überwachung bzw. Sicherheitsüberprüfung kann vor, während oder nach dem Herstellungsprozess zur Herstellung der Produkte erfolgen. Weiterhin muss die Sicherheitsüberprüfung nicht direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5 erfolgen, sondern kann auch indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5 geschehen.
-
5 zeigt ein weiteres Ausführungsbeispiel für ein Produktionssystem 1 mit einem überwachten Produktion-Steuerrechner 5. Bei dieser Ausführungsvariante erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5. Das Produktionssystem 1 in dem Ausführungsbeispiel der 5 weist mindestens eine Signalabzweigeinheit 14 auf, die Ein- und/oder Ausgabesignale des Produktion-Steuerrechners 5 rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechner 5' überträgt. Bei dem in 5 dargestellten Ausführungsbeispiel befindet sich die Signalabzweigeinheit 14 zwischen dem Produktion-Steuerrechner 5 und einer durch den Produktion-Steuerrechner 5 gesteuerten Fertigungseinheit 4. Bei den abgezweigten Ein- und/oder Ausgabesignalen kann es sich um Steuersignale und Sensorsignale handeln. Der identisch implementierte zweite Produktion-Steuerrechner 5' erhält somit dieselben Ein- oder Ausgabesignale wie der überwachte Produktion-Steuerrechner 5. Bei der in 5 dargestellten Ausführungsvariante ist an dem zweiten identisch implementierten Produktion-Steuerrechner 5' eine Sicherheitsüberprüfungseinheit 6 angeschlossen, welche die Sicherheitsüberprüfung durchführt. Diese Sicherheitsüberprüfung kann durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners 5' direkt erfolgen oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners 5' durch die Sicherheitsüberprüfungseinheit 6. Bei der in 5 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 eine externe Einheit, die beispielsweise über ein Netzwerk mit dem zweiten identisch implementierten Produktion-Steuerrechner 5' verbunden ist. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch integriert innerhalb des zweiten Produktion-Steuerrechners 5' befinden. Bei einer möglichen Ausführungsvariante erhält die Sicherheitsüberprüfungseinheit 6, wie sie in 5 dargestellt ist, auch die Ein- und/oder Ausgabesignale, welche von der Signalabzweigeeinheit 14 geliefert werden, um indirekt das Kommunikationsverhalten des zweiten Produktion-Steuerrechners 5' mit zu überwachen und auszuwerten. Bei einer möglichen Variante ist der zweite Produktion-Steuerrechner 5' physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut. Bei einer alternativen Ausführungsform ist der zweite Produktion-Steuerrechner 5' virtuell gleich zu dem überwachten Produktion-Steuerrechner 5 auf einem Server bzw. Rechner implementiert.
-
6 zeigt ein spezifisches Ausführungsbeispiel des erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner 5. Bei dem in 6 dargestellten Ausführungsbeispiel weist der Produktion-Steuerrechner 5 eine CPU 5A, einen Programmspeicher 5B, insbesondere eine Festplatte oder Festspeicher, einen Arbeitsspeicher 5C und eine Ein-/Ausgabeeinheit 5D bzw. eine Schnittstelle auf. Die Ein-/Ausgabeeinheit 5D des Produktion-Steuerrechner 5 ist beispielsweise über einen lokalen Bus mit einer Fertigungseinheit 4 verbunden, die über Aktoren A und Sensoren S verfügt. Weiterhin weist die Ein-/Ausgabeeinheit 5D des Produktion-Steuerrechners 5 eine Kommunikationsschnittstelle auf, beispielsweise eine serielle Schnittstelle mit einem Netzwerk, die mit dem in 1 dargestellten Industrienetzwerk 3 verbunden sein kann. In dem in 6 dargestellten Ausführungsbeispiel erfasst die Signalabzweigeinheit 14 Ein- und/oder Ausgabesignale des Produktion-Steuerrechners 5 rückwirkungsfrei z. B. mittels einer transparenten Erfassungseinheit TCU (transparent capturing unit), indem sie die auf dem lokalen Bus 2 zwischen der Eingabe-/Ausgabeeinheit 5D und der gesteuerten Fertigungseinheit 4 übertragenen bzw. ausgetauschten Signale abgreift. Die abgegriffenen Signale können von der transparenten Erfassungseinheit 14A in einem lokalen Zwischenspeicher 14B der Abzweigeinheit 14 zwischengespeichert werden. Von einer Kommunikationseinheit 14C der Abzweigeinheit werden anschließend die gegebenenfalls zwischengespeicherten abgezweigten Signale an eine Ein-/Ausgabeeinheit 5D' des Überwachungs-Produktion-Steuerrechners 5' übertragen. Der Überwachungs-Produktion-Steuerrechner 5' kann bei einer möglichen Ausführungsform physikalisch und identisch zu dem Produktion-Steuerrechner 5 aufgebaut sein. Wie in 6 dargestellt, weist der zweite Produktion-Steuerrechner bzw. der Überwachungs-Produktion-Steuerrechner 5' ebenfalls eine CPU 5A', einen Programmspeicher 5B', einen Arbeitsspeicher 5C' auf. In den Speichern 53', 5C' können Konfigurationsdaten des überwachten Produktion-Steuerrechners 5 z. B. über eine separate Schnittstelle kopiert werden. Bei dem Überwachungs-Produktion-Steuerrechner 5' handelt es sich gewissermaßen um einen gedoppelten Produktion-Steuerrechner, der mit den gleichen Eingabesignalen beaufschlagt wird wie der überwachte Produktion-Steuerrechner 5 und die gleichen Ausgabesignale bzw. Steuersignale generiert. Der gedoppelte Produktion-Steuerrechner 5' wird durch die Sicherheitsüberprüfungseinheit 6 auf seinen integeren Zustand hin überwacht. Die Sicherheitsüberprüfungseinheit 6 überprüft, ob der gedoppelte bzw. Überwachungs-Produktion-Steuerrechner 5' während des Produktionsvorganges nicht manipuliert ist. Bei einer möglichen Ausführungsform, wie sie in 6 dargestellt, erhält die Sicherheitsüberprüfungseinheit 6 einen Referenz-Datenspeicher 6A zum Abspeichern von Referenzdaten und eine Vergleichseinheit bzw. Prüfeinheit 6B, welche die gespeicherten Referenzdaten mit den Konfigurationsdaten des Produktion-Steuerrechners 5' vergleicht. Diese Konfigurationsdaten können aus den Speichern 5B', 5C' des Überwachungs-Produktion-Steuerrechners 5' ausgelesen werden. Abhängig von dem Prüfergebnis bewertet die Signalüberwachungseinheit 6, ob der Produktionssteuervorgang durch den überwachten Produktion-Steuerrechner 5 in einem integeren Zustand durchgeführt worden ist oder nicht. Der gedoppelte bzw. Überwachungs-Produktion-Steuerrechner 5' kann wie in 6 dargestellt in Hardwareimplementiert und physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut sein. Alternativ kann es sich bei dem Überwachungs-Produktion-Steuerrechner 5' um einen virtuellen Steuerrechner handeln, das heißt ein Steuerrechner, der als virtuelle Maschine auf einem Hypervisor ausgeführt wird, beispielsweise auf einem PC oder einem Server. Abhängig von dem Prüfergebnis, welches durch die Signalüberprüfungseinheit 6 geliefert wird, kann eine Fehlerbehandlung erfolgen. Eine Fehlerbehandlung kann beispielsweise das Abgeben eines Alarmsignals umfassen. Ferner ist es möglich, dass der gesamte Herstellungsprozess zur Herstellung der Produkte durch die Fertigungseinheit 4 sofort oder verzögert angehalten wird. Weiterhin kann eine Qualitätssicherungsmaßnahme nach Abschluss des Herstellungsprozesses für die hergestellten Produkte vorgenommen werden. Weiter ist es möglich, dass die Sicherheitsüberprüfungseinheit 6 eine Fehlerbenachrichtung an ein Produktion-Managementsystem abgibt. Bei einer weiteren alternativen Ausführungsform kann die Sicherheitsüberprüfungseinheit 6 das Einschreiben einer Fehlernachricht in einem oder in mehrere die hergestellten Produkte begleitende Datenträger veranlassen. Hierfür können die hergestellten Produkte jeweils einzeln oder als Gruppe mit einem Speichermodul oder einem RFID-Chip versehen sein. Wird ein Sicherheitsproblem durch die Sicherheitsüberprüfungseinheit 6 erkannt, so kann die betroffene Produktcharge geeignet weiterbehandelt werden, beispielsweise als Ausschuss oder es können zusätzliche Prüfungen zu Qualitätssicherungen vorgenommen. Falls bereits während der Durchführung der Produktion-Steueraufgabe in einer Sicherheitsüberprüfung ein Sicherheitsproblem erkannt wird, so kann auch direkt ein Abbruch des Herstellungsprozesses erfolgen oder ein Wechsel in einem betriebssicheren Zustand z. B. durch Erzeugen eines Notaus-Signals. Bei einer möglichen Ausführungsform erhält der Überwachungs-Produktion-Steuerrechner 5' Eingabesignale abgesehen von einer Signalleitzeitverzögerung zeitgleich wie der überwachte Produktion-Steuerrechner bzw. synchron zu dem überwachten Produktion-Steuerrechner. Bei einer alternativen Ausführungsform erhält der zweite Produktion-Steuerrechner 5' die Ein- bzw. Ausgabesignale asynchron. Da der zweite Überwachungs-Produktion-Steuerrechner 5' denselben Randbedingungen wie der erste zu überwachende Produktion-Steuerrechner 5 ausgesetzt ist, können auf ihm ohne Störung oder Beeinflussung des Produktionsvorganges Sicherheitsüberprüfungen durchgeführt werden, beispielsweise ein Virenscanner, ein Sicherheitsmonitoring kritischer Speicherbereiche sowie eine Überwachung, ob die Betriebssystemdateien des Überwachungs-Produktion-Steuerrechners 5' modifiziert werden. Bei einer möglichen Variante wird der erste Produktion-Steuerrechner 5 zweimal mit den gleichen Eingabesignalen beaufschlagt, wobei einmal die Durchführung im Realbetrieb erfolgt und das andere Mal in einem simulierten Betrieb ohne reale Produktion. Wird bei der Sicherheitsüberprüfung ein kritischer Zustand erkannt, so wird bei einer möglichen Ausführungsform der Produktion-Steuerrechner 5 bzw. der Produktionsvorgang in einem sicheren Betriebsmodus überführt bzw. gefahren, so dass keine Gefährdung in dem realen Produktionssystem auftritt.
-
Das Datenimage für den zweiten Produktion-Steuerrechners 5' bzw. die Konfigurationsdaten sind vorzugsweise identisch mit dem Datenimage für den ersten Produktion-Steuerrechner. Bei einer möglichen Ausführungsform kann das Datenimage bzw. die abgezogenen Konfigurationsdaten modifiziert werden, indem zusätzlich das Datenimage eines Virenscanners, eines Personal-Firewalls oder eines Intrusion Detection Systems installiert werden. Möglich ist, dass auch innerhalb der Laufzeitumgebung des zweiten Produktion-Steuerrechners ein Sicherheitsproblem erkannt werden kann. Weiterhin ist es möglich, dass auf dem zweiten Produktion-Steuerrechners 5' ein oder mehrere Sicherheitspatches beispielsweise Bildbetriebssystemupdates installiert werden. Bei einer weiteren Variante werden zwei Datenimages bzw. Konfigurationsdatenkopien erzeugt, wobei ein zweiter und gegebenenfalls ein zusätzlich dritter Rechner mit den erfassten Signalen beaufschlagt wird. Dabei kann beispielsweise ein Datenimage identisch sein zu dem des ersten Produktion-Steuerrechner und das andere Datenimage wie oben beschrieben modifiziert werden. Bei dieser Ausführungsvariante ist es möglich, einen Vergleich der Ausgangssignale der beiden virtuellen Rechner durchzuführen. Bei einer Abweichung wird dann ein Sicherheitsproblem erkannt. Bei einer möglichen weiteren Variante können im Parallelbetrieb in dem zweiten virtuellen Produktion-Steuerrechner Betriebssystem-Updates oder Applikationspatches installiert werden, um dabei im realen Produktionsbetrieb parallel zum ersten Rechner den Einfluss neuer Patches bzw. Updates auf die generelle Funktionalität des ersten Produktion-Steuerrechners 5 beobachten zu können. Nach einer definierten Testzeit können die Updates bzw. Patches dann in einer Maintenance bzw. Wartungsphase auf dem ersten Produktion-Steuerrechner 5 vorgenommen werden.
-
Bei einer weiteren Ausführungsvariante verfügt der erste Produktion-Steuerrechner 5 über vorgegebene Hardware-basierte Sicherheitsmittel beispielsweise TPM, die zu einem Initialisierungszeitpunkt beispielsweise beim Booten des ersten Produktion-Steuerrechners 5 die Plattform auf eventuelle Änderungen untersucht und das Ergebnis als Integrity Check Value ICV an den zweiten Produktion-Steuerrechner übermittelt. Der zweite Produktion-Steuerrechner 5' kann dann zusätzlich zu den oben beschriebenen Auswertungen auch das Prüfergebnis ICV mit einem zuletzt gespeicherten ICV-Prüfergebnis vergleichen und bei Abweichungen den ersten Produktion-Steuerrechner 5 in einen sicheren Zustand bringen. Bei einer möglichen Variante kann diese Überprüfung mittels Integrity Check Values ICV auch im laufenden Betrieb wiederholt erfolgen.
-
7 zeigt ein Diagramm zur Erläuterung der Funktionsweise des erfindungsgemäßen Verfahrens zur Überwachung mindestens eines Produktion-Steuerrechners 5. In dem dargestellten Zeitablauf werden drei Herstellungsprozesse bzw. Produktionsvorgänge durchgeführt. Zu unterschiedlichen Zeitpunkten werden Prüfergebnisse von der Sicherheitsüberprüfungseinheit 6 ermittelt. Diese Sicherheitsüberprüfungsergebnisse werden dabei einem Produktionsschritt zugeordnet. Bei einer möglichen Ausführungsform wird ein Zeitfenster ermittelt, zu dem die Produktion-Steuervorgänge durchgeführt werden. Gegebenenfalls kann auch ein modifiziertes Zeitfenster ermittelt werden, beispielsweise indem durch einen Zeitraum vor und nach Durchführung des Produktionsvorganges berücksichtigt wird, beispielsweise eine Minute, eine Stunde oder ein Tag. Es kann dann untersucht werden, ob in dem für eine erzeugte Produktionseinheit bzw. eine Produktionscharge in den verwendetem Zeitfenster ein negatives Prüfergebnis vorliegt. Falls ja, können die erzeugten Produkte bzw. die gesamte Produktionscharge als fehlerhaft bzw. potentiell fehlerhaft markiert werden.
-
Für jede Produktionsaufgabe bzw. für jeden Produktion-Steuervorgang kann ein Startzeitpunkt und ein Endezeitpunkt ermittelt bzw. festgelegt werden. Das Prüfintervall für diesen Produktion-Steuervorgang erstreckt sich in diesem Beispiel auf einen für die Produktionsaufgabe relevanten Zeitraum.
-
Im ersten Beispielfall, das heißt dem Produktion-Steuervorgang 1, liegen bei dem dargestellten Beispiel Meldungen vor, die angeben, dass während des Produktion-Steuervorganges keine auffälligen Prüfergebnisse ermittelt wurden. Die in dem ersten Produktion-Steuervorgang 1 erzeugten Produkte werden daher als ordnungsmäßig hergestellt gekennzeichnet.
-
In dem zweiten Beispielfall, das heißt der Produktion-Steueraufgabe 2, liegen für einen Zeitraum etwa in der Mitte des Produktion-Steuervorganges keine Prüfergebnisse vor. Daher kann bei diesem Beispiel nicht mit hinreichender Zuverlässigkeit eine Aussage darüber getroffen werden, ob die in der zweiten Produktionsaufgabe erzeugten Produkte fehlerhaft hergestellt worden sind oder nicht. Daher werden die während des zweiten Produktion-Steuervorgangs erzeugten Produkte als möglicherweise fehlerhaft gekennzeichnet.
-
In dem dritten Beispielfall, das heißt dem Produktion-Steuervorgang 3 werden in einem Zeitraum etwa in der Mitte der Produktion-Steueraufgabe negative Ergebnisse bzw. Fehlermeldungen generiert, das heißt der zugehörige Produktion-Steuerrechner wird durch die zugehörige Sicherheitsüberprüfungseinheit als fehlerhaft erkannt. Die in dem dritten Produktion-Steuervorgang 3 erzeugten Produkte bzw. Gegenstände werden daher als fehlerhaft hergestellt gekennzeichnet. Mit dem erfindungsgemäßen Verfahren und System können schadhafte Auswirkungen infolge eines Angriffs auf einen Produktion-Steuerrechner vermieden bzw. die Auswirkungen reduziert werden. Möglicherweise schadhafte Produkte bzw. Gegenstände können entsprechend markiert bzw. gekennzeichnet werden, so dass sie im Nachgang entweder als Ausschuss aussortiert werden oder weiteren als Sicherheitsüberprüfungen im Zuge einer Qualitätssicherungsmaßnahme unterzogen werden.
-
Ein in Echtzeit arbeitender echtzeit-kritischer Produktion-Steuerrechner 5 kann mit Hilfe eines virtuellen Doppels zwei Sicherheitsanalysen unterzogen werden, ohne dass der operative Betrieb des Produktion-Steuerrechners 5 gestört wird. Die erfindungsgemäße Vorrichtung bzw. das erfindungsgemäße System zur Integritätsüberwachung eines Produktion-Steuerrechners 5 eignet sich für jegliche Fertigung bzw. Herstellung von Gegenständen bzw. Produkten. Bei den Produkten kann es sich um materielle Gegenstände, aber auch um immaterielle Gegenstände, beispielsweise Dateien oder dergleichen handeln.